Webwereld en Brenno de Winter hebben al heel wat over zich heen gekregen sinds de lancering van Lektober: het plan om iedere dag van oktober een lek in de infrastructuur van (semi-)overheids- en zorginstellingen aan te geven. De laatste aanval op De Winter was een aanval op de server van de journalist om aan te tonen dat ook diens infrastructuur ‘lek’ is en dat Lektober overdreven is en gericht op sensatie.
Het Amersfoortse beveiligingsbedrijf ISSX blijkt bij deze aanval op De Winter’s server betrokken te zijn. Oprichter Ronald Kingma van ISSX bekent dat zijn organisatie een rol heeft gespeeld bij de aanval nadat hij is geconfronteerd met bewijs uit de log-bestanden. ‘ISSX heeft meegewerkt aan het vergaren van informatie. Van de daadwerkelijke aanvallen waren we wel op de hoogte, en ook van hoe hij (de server) geëxploiteerd is. Maar die handelingen zijn niet vanuit ISSX uitgevoerd’, zegt Kingma. Kingma wil niet zeggen wie de concrete aanval heeft uitgevoerd en wat hun betrokkenheid bij zijn organisatie is. In communicatie met de Telegraaf omschrijven de aanvallers zich als ‘Kwik, Kwek en Kwak’.
ISSX benadert op 26 oktober voor 10 uur de server van De Winter. Bij deze aanval wordt naar het bestand readme.txt gezocht, wat geen normaal bestand is voor een browser om op te vragen. Het was het eerste bestand dat gezocht werd die ochtend; er volgen er nog meerdere, wat wijst op een speuractie. Later die avond vindt er een volgende actie plaats, waarbij er zoveel verzoeken naar de server gestuurd worden, dat het systeem ze ziet als een denial of service aanval. De dag daarna vindt een volgende en laatste aanval plaats.
Kingma duidt de actie als frustratie, want hij vindt dat Lektober doorgeschoten is van een initiatief tot bewustwording rond beveiliging naar een vrijbrief om te hacken. ‘Wij krijgen vanuit de markt en van klanten het signaal dat zij een verhoogde activiteit zien van mensen die proberen websites aan te vallen’, zegt Kingma.
Het onderzoek naar de server van de journalist bracht een aantal basale fouten in zijn infrastructuur aan het licht. ‘Zoals wij het noemen: beginnersfouten’, sneert Kingma. De Winter is aangepakt ‘omdat Lektober nu speelt, en omdat Brenno hoog van de toren blaast. Omdat wij de indruk hebben dat Brenno zelf het overzicht ook niet helemaal heeft’. Daarnaast: ‘Brenno is goed in dingen journalistiek naar voren brengen. Maar bij een aantal van de gevonden lekken hadden wij bedenkingen of die voldoende ernstig waren om het publiekelijk te moeten melden’.ISSX heeft vooraf geen contact gehad met De Winter, maar heeft details doorgespeeld naar de Telegraaf met de afspraak dat deze De Winter de tijd zou geven om de problemen op te lossen. De Winter heeft de inbraak zelf in de loop van afgelopen zondag gedetecteerd. Hij heeft daarvan op Webwereld kond gedaan. De Telegraaf belde Brenno zo’n 20 minuten na de publicatie op Webwereld.
Opvallend is dat de aanvallers zich uitgeven voor Kwik, Kwek en Kwak. In 2007 zijn drie studenten van Universiteit Twente veroordeeld wegens illegaal hacken. Ook dit drietal stond bekend als Kwik, Kwek en Kwak.Volgens Kingma is dat puur toeval.
Eerder deze maand heeft de journalist een beveiligingsprobleem gemeld bij een ziekenhuis dat klant is van ISSX. Omdat het geen privacylek betrof, is dat probleem nooit gepubliceerd. ‘Juist dit bedrijf heeft de kans gehad om problemen van hun klanten in stilte op te lossen’, concludeert De Winter. Hij is niet te spreken over de manier waarop ISSX zich heeft opgesteld en is ook niet onder de indruk van het werk van de organisatie. ‘Zij hebben van anonimisering van het hacken nog niet veel begrepen. Het is me reuze meegevallen hoe eenvoudig dit bedrijf te achterhalen was. Zo zie je maar weer, criminelen maken altijd een fout’.
